Ці складана стварыць віртуальную машыну (ВМ) у воблаку? Не складаней, чым заварыць гарбату. Але калі гаворка ідзе пра вялікую карпарацыю, то нават такое простае дзеянне можа аказацца пакутліва доўгім. Мала стварыць віртуалку, трэба яшчэ па ўсіх рэгламентах атрымаць неабходныя доступы для працы. Знаёмы боль кожнага распрацоўніка? У адным буйным банку гэтая працэдура займала ад некалькіх гадзін да некалькіх дзён. А паколькі падобных аперацый у месяц было сотні, лёгка ўявіць маштабы гэтай паглынальнай працавыдаткі схемы. Каб скончыць з гэтым, мы мадэрнізавалі прыватнае воблака банка і аўтаматызавалі не толькі працэс стварэння ВМ, але і сумежныя аперацыі.
Задача №1. Воблака з падключэннем да Інтэрнэту
Прыватнае воблака банк стварыў сіламі ўнутранай ІТ-каманды для асобна ўзятага сегмента сеткі. З часам кіраўніцтва ацаніла яго карысць і было вырашана распаўсюдзіць канцэпцыю прыватнага аблокі на іншыя асяроддзі і сегменты банка. Для гэтага спатрэбілася больш спецыялістаў і моцная экспертыза па прыватных аблоках. Таму мадэрнізацыю аблокі даверылі нашай камандзе.
Асноўным стрымам гэтага праекта стала стварэнне віртуальных машын у дадатковым сегменце інфармацыйнай бяспекі - у дэмілітарызаванай зоне (DMZ). Менавіта тут сэрвісы банка інтэгруюцца са знешнімі сістэмамі, якія знаходзяцца за межамі банкаўскай інфраструктуры.
Але ў гэтага медаля быў і адваротны бок. Сэрвісы з DMZ былі даступныя "звонку" і гэта вабіла за сабой цэлы набор рызык ИБ. У першую чаргу, гэта пагроза ўзлому сістэм, наступнае пашырэнне поля нападу ў DMZ, а затым і пранікненне ў інфраструктуру банка. Каб мінімізаваць частку гэтых рызык, мы прапанавалі выкарыстоўваць дадатковы сродак абароны - рашэнне па мікрасегментацыі.
Абарона мікрасегментацыяй
Класічная сегментацыя выбудоўвае абароненыя рубяжы на межах сетак пры дапамозе міжсеткавага экрана. Пры мікрасегментацыі кожную асобную ВМ можна вылучыць у персанальны ізаляваны сегмент.
Гэта ўзмацняе бяспеку ўсёй сістэмы. Нават калі зламыснікі ўзламаюць адзін сервер DMZ, распаўсюдзіць атаку па сетцы ім будзе вельмі складана – усярэдзіне сетак ім трэба будзе праламаць мноства «зачыненых дзвярэй». Персанальны міжсеткавы экран кожнай ВМ змяшчае свае правілы ў яе адносінах, якія вызначаюць права на ўваход і выхад. Мікрасэгментацыю мы забяспечылі з дапамогай VMware NSX-T Distributed Firewall. Гэты прадукт цэнтралізавана стварае правілы міжсеткавага экранавання для ВМ і распаўсюджвае іх па інфраструктуры віртуалізацыі. Не важна якая гасцёўня АС выкарыстоўваецца, правіла ўжываецца на ўзроўні падлучэння віртуалак да сеткі.
Задача N2. У пошуках хуткасці і зручнасці
Разгарнуць віртуалку? Лёгка! Пара клікаў і гатова. Але далей узнікае мноства пытанняў: як атрымаць доступ з гэтай ВМ да іншай ці сістэмы? Ці з іншай сістэмы назад да ВМ?
Напрыклад, у банку пасля замовы ВМ на хмарным партале трэба было адкрыць партал тэхпадтрымкі і завесці заяўку на прадастаўленне неабходных доступаў. Памылка ў заяўцы абарочвалася званкамі і перапіскай для выпраўлення сітуацыі. Пры гэтым у ВМ можа быць 10-15-20 доступаў і адпрацоўка кожнага займала час. Д'ябальскі працэс.
Акрамя таго, асобнага клопату патрабавала "ўборка" слядоў жыццядзейнасці выдаленых віртуалак. Пасля іх выдалення на міжсеткавым экране заставаліся тысячы правіл доступу, нагружаючы абсталяванне. Гэта і лішняя нагрузка, і дзюры ў бяспецы.
Рабіць так з правіламі ў воблаку нельга. Гэта няёмка і небяспечна.
Каб звесці да мінімуму тэрміны прадастаўлення доступаў да ВМ і зрабіць зручным кіраванне імі, мы распрацавалі паслугу кіравання сеткавым доступам для ВМ.
Карыстальнік на ўзроўні віртуалкі ў кантэкстным меню выбірае пункт для стварэння правіла доступу, а пасля ў форме, якая адкрылася, паказвае параметры — адкуль, куды, тыпы пратаколаў, нумары партоў. Пасля запаўнення і адпраўкі формы аўтаматычна ствараюцца неабходныя заяўкі ў сістэме тэхнічнай падтрымкі карыстальнікаў на базе HP Service Manager. Яны паступаюць адказным за ўзгадненне таго ці іншага доступу і, калі доступы адобраны, - спецыялістам, якія выконваюць частку аперацый, пакуль не аўтаматызаваных.
Пасля таго як стадыя бізнэс-працэсу з уцягваннем адмыслоўцаў адпрацавала, пачынаецца тая частка паслугі, якая аўтаматычна стварае правілы на міжсеткавых экранах.
Як фінальны акорд карыстач бачыць на партале паспяхова выкананы запыт. Гэта значыць, што правіла створана і з ім можна працаваць - прагледзець, змяніць, выдаліць.
Фінальны рахунак карысці
Па сутнасці мы мадэрнізавалі невялікія аспекты працы прыватнага аблокі, але банк атрымаў прыкметны эфект. Карыстальнікі зараз атрымліваюць сеткавыя доступы толькі праз партал, не маючы наўпрост справу з Service Desk. Абавязковыя палі формы, іх валідацыя на карэктнасць уводных дадзеных, пераднастроеныя спісы, дадатковыя дадзеныя – усё гэта дапамагае сфармаваць дакладны запыт на доступ, які з высокай дзеллю верагоднасці будзе разгледжаны і не загорнуты супрацоўнікамі ИБ з-за памылак уводу. Віртуалкі перасталі быць чорнымі скрынямі - з імі можна працаваць далей, уносячы змены на партале.
У выніку сёння ІТ-адмыслоўцы банка маюць у сваім распараджэнні зручнейшая прылада для атрымання доступаў, а ў працэс уцягнутыя толькі тыя людзі, без якіх пакуль сапраўды не абыйсціся. У суме па працавыдатках гэтае вызваленне ад штодзённай поўнай загрузкі як мінімум 1 чалавека, а таксама дзясяткі зэканомленых гадзін для карыстачоў. Аўтаматызацыя стварэння правіл зрабіла магчымым укараніць рашэнне па мікрасегментацыі, якое не стварае нагрузкі на супрацоўнікаў банка.
І нарэшце "правіла доступу" стала ўліковай адзінкай аблокі. Гэта значыць зараз воблака захоўвае інфармацыю аб правілах для ўсіх ВМ і падчышчае іх пры выдаленні віртуалак.
Хутка плюсы мадэрнізацыі распаўсюдзіліся і на ўсё воблака банка. Аўтаматызацыя працэсу стварэння ВМ і мікрасегментацыя ступілі за межы DMZ і захапілі астатнія сегменты. А гэта павысіла бяспеку аблокі ў цэлым.
Рэалізаванае рашэнне цікава яшчэ і тым, што яно дазваляе банку паскорыць працэсы распрацоўкі, набліжаючы яго па гэтым крытэры да мадэлі ІТ-кампаній. Бо калі гаворка ідзе аб мабільных прыкладаннях, парталах, кліенцкія сэрвісах, любая буйная кампанія сёння імкнецца стаць "фабрыкай" па выпуску лічбавых прадуктаў. У гэтым сэнсе банкі практычна гуляюць нароўні з наймацнейшымі ІТ-кампаніямі, не адстаючы ў стварэнні новых прыкладанняў. І добра, калі магчымасці ІТ-інфраструктуры, пабудаванай па мадэлі прыватнага аблокі, дазваляюць вылучыць неабходныя для гэтага рэсурсы за некалькі хвілін і максімальна бяспечна.
аўтары:
Вячаслаў Мядзведзеў, начальнік аддзела хмарных вылічэнняў «Інфасістэмы Джэт»,
Ілля Куйкін, вядучы інжынер аддзела хмарных вылічэнняў «Інфасістэмы Джэт»
Крыніца: habr.com